Compartilhar via


Gerenciar centralmente vários workspaces do Microsoft Sentinel com o gerenciador de workspaces (versão prévia)

Saiba como gerenciar centralmente vários workspaces do Microsoft Sentinel em um ou mais locatários do Azure com o gerenciador de espaços de trabalho. Este artigo explica o provisionamento e o uso do gerenciador de espaços de trabalho. Seja você uma empresa global ou um Provedor de Serviços de Segurança Gerenciada (MSSP), o gerenciador de espaços de trabalho ajuda você a operar em escala com eficiência.

Aqui estão os tipos de conteúdo ativo suportados pelo gerenciador de espaços de trabalho:

  • Regras de análise
  • Regras de automação (excluindo Guias estratégicos)
  • Analisadores, Pesquisas Salvas e Funções
  • Consultas de Busca e Transmissão ao Vivo
  • Pastas de trabalho

Importante

O suporte para o gerenciador de workspaces está atualmente em VERSÃO PRÉVIA. Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

Se você integrar o Microsoft Sentinel ao portal do Microsoft Defender, confira Gerenciamento multilocatário do Microsoft Defender.

Pré-requisitos

Considerações

Configure um espaço de trabalho central para ser o ambiente no qual você consolida itens de conteúdo e configurações a serem publicados em escala nos espaços de trabalho dos membros. Crie um novo espaço de trabalho do Microsoft Sentinel ou utilize um existente para servir como o espaço de trabalho central.

Dependendo do cenário, considere as seguintes arquiteturas:

  • O link direto é a configuração menos complexa. Controle todos os espaços de trabalho dos membros com apenas um espaço de trabalho central.
  • O cogerenciamento suporta cenários em que mais de um espaço de trabalho central precisa gerenciar um espaço de trabalho de membro. Por exemplo, espaços de trabalho gerenciados simultaneamente por uma equipe SOC interna e um MSSP.
  • O N camadas suporta cenários complexos em que um espaço de trabalho central controla outro espaço de trabalho central. Por exemplo, um conglomerado que gerencia várias subsidiárias, em que cada subsidiária também gerencia vários espaços de trabalho.

Um diagrama mostrando várias opções de arquitetura para o gerenciador de espaços de trabalho no Microsoft Sentinel.

Habilitar o gerenciador de espaços de trabalho no espaço de trabalho central

Habilite o espaço de trabalho central depois de decidir qual workspace do Microsoft Sentinel deve ser o gerenciador de espaços de trabalho.

  1. Navegue até a folha Configurações no espaço de trabalho pai e alterne para Ativado a configuração do gerenciador de espaço de trabalho para "Tornar este espaço de trabalho um pai".

  2. Uma vez habilitado, um novo menu Gerenciador de espaços de trabalho (versão prévia) aparece abaixo de Configuração.

    A captura de tela mostra as configurações do gerenciador de espaço de trabalho. O item de menu adicionado para o gerenciador de espaço de trabalho é destacado e o botão de alternância ativado.

Espaços de trabalho de membros integrados

Os espaços de trabalho dos membros são o conjunto de espaços de trabalho gerenciados pelo gerenciador de espaços de trabalho. Integre alguns ou todos os espaços de trabalho no locatário e em vários locatários também (se o Azure Lighthouse estiver habilitado).

  1. Navegue até o gerenciador de espaços de trabalho e selecione "Adicionar espaços de trabalho"  A captura de tela mostra o menu Adicionar espaço de trabalho.
  2. Selecione o(s) espaço(s) de trabalho membro(s) que você deseja integrar ao gerenciador de espaços de trabalho. Captura de tela mostrando o menu de seleção para adicionar espaços de trabalho.
  3. Uma vez integrado com sucesso, a contagem de Membros aumenta e seus espaços de trabalho de membros são refletidos na guia Espaços de Trabalho.  A captura de tela mostra os espaços de trabalho adicionados e a contagem de Membros incrementada para 2.

Criar um grupo

Os grupos de gerenciamento de espaço de trabalho permitem organizar os espaços de trabalho juntos com base em grupos de negócios, verticais, geografia etc. Use grupos para emparelhar itens de conteúdo relevantes aos espaços de trabalho.

Dica

Verifique se você tem pelo menos um item de conteúdo ativo implantado no espaço de trabalho central. Isso permite selecionar os itens de conteúdo do espaço de trabalho central a serem publicados no(s) espaço(s) de trabalho dos membros nas etapas subsequentes.

  1. Para criar um grupo:

    • Para adicionar um espaço de trabalho, selecione Adicionar>Grupo.
    • Para adicionar vários espaços de trabalho, selecione os espaços de trabalho e Adicione o>Grupo de selecionados. Captura de tela mostrando o menu Adicionar grupo.
  2. Na página Criar ou atualizar grupo, insira um Nome e uma Descrição para o grupo. Captura de tela mostrando a página de configuração de criação ou atualização do grupo.

  3. Na guia Selecionar espaços de trabalho, selecione Adicionar e selecione os espaços de trabalho dos membros que você gostaria de adicionar ao grupo.

  4. Na guia Selecionar conteúdo, você tem duas maneiras de adicionar itens de conteúdo.

    • Método 1: Selecione o menu Adicionar e escolha Todo o conteúdo. Todo o conteúdo ativo implantado atualmente no espaço de trabalho central é adicionado. Esta lista é um instantâneo pontual que seleciona apenas conteúdos ativos, não modelos.
    • Método 2: Selecione o menu Adicionar e escolha o Conteúdo. Uma janela Selecionar conteúdo é aberta para personalizar a seleção do conteúdo adicionado. Captura de tela mostrando a seleção do conteúdo do grupo.
  5. Filtre o conteúdo conforme necessário antes de Revisar + criar.

  6. Uma vez criada, a Contagem de grupos aumenta e seus grupos são refletidos na guia Grupos.

Publicar a Definição do Grupo

Neste momento, os itens de conteúdo selecionados ainda não foram publicados no(s) espaço(s) de trabalho do membro(s).

Observação

A ação de publicação falhará se as operações máximas de publicação forem excedidas. Considere dividir workspaces de membros em grupos adicionais se você se aproximar desse limite.

  1. Selecione o grupo >Publicar conteúdo.

    Captura de tela mostrando a janela de publicação do grupo.

    Para publicar em massa, selecione os vários grupos desejados e selecione Publicar. Captura de tela mostrando a janela de publicação do grupos com várias seleções.

  2. A coluna Último status da publicação é atualizada para refletir que está Em andamento. Captura de tela mostrando a coluna de progresso da publicação em vários grupos.

  3. Se for bem-sucedido, o status Última publicação será atualizado para refletir que foi Bem-sucedido. Os itens de conteúdo selecionados agora existem nos espaços de trabalho dos membros. Captura de tela mostrando a última coluna publicada com entradas bem-sucedidas.

    Se apenas um item de conteúdo não for publicado para todo o grupo, o Status da última publicação é atualizado para refletir Falha.

Solução de problemas

Cada tentativa de publicação tem um link para ajudar na solução de problemas se os itens de conteúdo não forem publicados.

  1. Selecione o hiperlink Falha para abrir a janela de detalhes da falha do trabalho. É exibido um status para cada item de conteúdo e par de espaço de trabalho de destino.

  2. Filtre o Status para pares de itens com falha.

    Captura de tela mostrando os detalhes do trabalho de um evento de falha na publicação em grupo.

Os motivos comuns de falha incluem:

  • Os itens de conteúdo referenciados na definição de grupo não existem mais no momento da publicação (foram excluídos).
  • As permissões foram alteradas no momento da publicação. Por exemplo, o usuário não é mais um Colaborador do Microsoft Sentinel ou não tem mais permissões suficientes no espaço de trabalho do membro.
  • Um espaço de trabalho de membro foi excluído.

Limitações conhecidas

  • O máximo de operações publicadas por grupo é 2.000. Operações publicadas = (workspaces de membros) * (itens de conteúdo).
    Por exemplo, se você tiver 10 workspaces membros em um grupo e publicar 20 itens de conteúdo nesse grupo,
    operações publicadas = 10 * 20 = 200.
  • No momento, os guias estratégicos atribuídos ou anexados às regras de análise e automação não são suportados.
  • No momento, as pastas de trabalho armazenadas em traga seu próprio armazenamento não são suportadas.
  • O gerenciador de espaços de trabalho gerencia apenas os itens de conteúdo publicados no espaço de trabalho central. Ele não gerencia o conteúdo criado localmente a partir do(s) espaço(s) de trabalho do membro.
  • No momento, a exclusão centralizada do conteúdo que reside no(s) espaço(s) de trabalho do(s) membro(s) por meio do gerenciador de espaços de trabalho não é suportada.

Referências de API

Próximas etapas